Neste documento, explicamos como agrupar descobertas em casos no nível Enterprise do Security Command Center.
Visão geral
O mecanismo de agrupamento de resultados agrupa automaticamente os resultados ingeridos em casos. Por padrão, esse mecanismo de agrupamento garante que todas as descobertas em um caso pertencem ao mesmo:
- Proprietário do recurso
- Projeto do Google Cloud
- Conta da AWS
- Tipo de recurso
- Categoria
- Nível de gravidade
Definir configurações de agrupamento
Para definir as configurações de agrupamento padrão aplicáveis a todas as descobertas ingeridas, faça o seguinte: siga estas etapas:
No console de Operações de Segurança, acesse Configurações > Ingestão > Conectores.
Selecione SCC Enterprise - Urgent Posture Findings Connector.
Para personalizar o mecanismo de agrupamento e desativar opções específicas, desmarque as caixas de seleção de um ou mais dos seguintes parâmetros:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Por padrão, as seguintes configurações de agrupamento se aplicam às descobertas ingeridas:
Agrupar por conta da AWS: as descobertas são agrupadas de acordo com as contas da AWS a que pertencem.
Agrupar por projeto do GCP: as descobertas são agrupadas de acordo com os projetos do Google Cloud a que pertencem.
Agrupar por gravidade: as descobertas são agrupadas de acordo com o
severity. do nível, comoHIGHouMEDIUM.Agrupar por tipo de recurso: as descobertas são agrupadas de acordo com o recurso. tipo (tipo de recurso do Google Cloud), como uma instância do Compute Engine ou uma conta de serviço do IAM.
Todas as descobertas agrupadas em um caso pertencem ao mesmo proprietário. Para garantir
que as descobertas sejam agrupadas corretamente, incluindo descobertas sem tags
heredadas do Google Cloud ou contatos essenciais, sempre configure o
parâmetro Fallback Owner do conector.
Exemplo: como o mecanismo de agrupamento funciona
Neste exemplo, só são usadas as descobertas do Google Cloud.
O conector processa quatro descobertas com severidades e valores diferentes herdados dos respectivos recursos do Google Cloud:
Descoberta 1: gravidade: Critical, tipo de recurso: Compute, projeto: Project_1
Descoberta 2: gravidade: Critical, tipo de recurso: IAM, projeto: Project_2
Descoberta 3: gravidade: High, tipo de recurso: Compute, projeto: Project_1
Descoberta 4: gravidade: High, tipo de recurso: Compute, projeto: Project_2
Mecanismo de agrupamento padrão
Com as configurações padrão, as descobertas são agrupadas de acordo com as respectivas projetos, tipos de recursos e propriedades de gravidade.
Neste exemplo, cada achado é incluído em um caso diferente.
Caso 1:
- Detecção 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1
- Detecção 1: gravidade:
Caso 2:
- 2ª descoberta: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- 2ª descoberta: gravidade:
Caso 3:
- 3:
High, Tipo de recurso:Compute, Projeto:Project_1
- 3:
Caso 4:
- Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 4: gravidade:
Mecanismo de agrupamento personalizado
Marcar apenas a caixa de seleção Agrupar por projeto do GCP agrupa automaticamente as descobertas de acordo com os projetos do Google Cloud para que um caso contenha apenas descobertas que pertencem ao mesmo projeto:
Caso 1:
- Descoberta 1: gravidade
Critical, tipo de recurso:Compute, projeto:Project_1 - Descoberta 3: gravidade
High, tipo de recurso:Compute, projeto:Project_1
- Descoberta 1: gravidade
Caso 2:
- 2ª descoberta: gravidade
Critical, tipo de recurso:IAM, projeto:Project_2 - Descoberta 4: gravidade
High, tipo de recurso:Compute, projeto:Project_2
- 2ª descoberta: gravidade
A seleção da caixa de seleção Agrupar por gravidade agrupa automaticamente as descobertas de acordo com a gravidade para que um caso contenha apenas descobertas com o mesmo nível de gravidade:
Caso 1:
- Detecção 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1 - Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Detecção 1: gravidade:
Caso 2:
- Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 3: gravidade:
Marcar apenas a caixa de seleção Agrupar por tipo de recurso agrupa automaticamente as descobertas de acordo com os tipos de recursos (tipos de recursos no Google Cloud) para que um caso contém apenas descobertas pertencentes ao mesmo recurso:
Caso 1:
- Detecção 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1 - 3ª descoberta: gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - 4: Gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Detecção 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Descoberta 2: gravidade:
Selecionar as caixas de seleção Group by GCP Project e Group by Severity agrupa automaticamente as descobertas de acordo com os respectivos projetos e níveis de gravidade, de modo que um caso só contenha descobertas pertencentes ao mesmo projeto e com a mesma gravidade. Neste exemplo, o conector cria os quatro casos a seguir:
Caso 1:
- Detecção 1: gravidade:
Critical, tipo de recurso:Compute, projeto:Project_1
- Detecção 1: gravidade:
Caso 2:
- 2ª descoberta: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- 2ª descoberta: gravidade:
Caso 3:
- 3ª descoberta: gravidade:
High, tipo de recurso:Compute, projeto:Project_1
- 3ª descoberta: gravidade:
Caso 4:
- Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 4: gravidade:
A seguir
- Saiba mais sobre alertas no Google SecOps na documentação do Google Cloud.